и снова system и 100%

Printable View

24.12.2009, 13:41
snatch

и снова system и 100%

Доброго времени. Не первый такой, знаю). Но поиском по форуму помочь себе не смог.
Симптомы: в момент запуска некоторых приложений (The Bat, firefox) наблюдается легкие фризы, диспетчер задач при этом говорит, что system отъедает ровно до половины проц. времени. При закрытии названных приложений, наблюдается также подвисание. В случае с закрытием The Bat, - зависают сам бат и проводник. Все это происходит на рабочей станции в домене (WindowsXPsp3), есть постоянно обновляющийся DrWeb ES. Поставил еще K7 для полной уверенности. Ни AVP tool, ни курилка ничего не нашли. При манипуляциях с проводником К7 периодически может выдать что C:\Windows\system32\drivers\utqxmzuz.sys инфицирован Trojan.Win32.Malware.1.
24.12.2009, 13:53
PavelA

C:\Windows\system32\drivers\utqxmzuz.sys - наш драйвер.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\userinit.exe[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\userinit.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин.
Я на машине увидел Доктора,К7 и Симантека. Не много ли их на одну машину?
24.12.2009, 15:00
snatch

Симантик, снесен криво, прошу извинить мои руки). Остался мусор в реестре.
Из действующих антивирусов только К7 и доктор веб.
Юзеринит я убивал еще до, осталась только строка.
24.12.2009, 15:12
PavelA

Симантик, снесен криво, прошу извинить мои руки). -- для его зачистки есть у них на сайте утилита.
24.12.2009, 15:19
light59

[QUOTE='PavelA;543952']для его зачистки есть у них на сайте утилита. [/QUOTE]
[URL="http://support.kaspersky.ru/faq/?qid=208635925"]http://support.kaspersky.ru/faq/?qid=208635925[/URL] Там ссылки.
25.12.2009, 08:10
snatch

PavelA, все сделал как вы сказали. Но проблема осталась, - System продолжает съедать до 50% (полагаю, что не 100 из за включенного HT) процессорного времени. Некоторые из системных файлов отправлял на вирустотал (ntoskrnl, user32, ntdll, rundll32) - Все чисто.

Light59, спасибо скачал
25.12.2009, 08:58
PavelA

Логи повторите.
28.12.2009, 09:22
snatch

Немного поздновато, но не было возможности отправить раньше.
28.12.2009, 10:06
PavelA

В логах проблем не увидел, а у Вас они остались?
28.12.2009, 14:53
snatch

Симптомы все остались.
29.12.2009, 11:07
snatch

Почистил ntuser.dat, - процесс system стал вести себя адекватнее. Пока симптомов не наблюдаю.
30.12.2009, 11:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]